Deconstructed cloud depicting application security

Sécurité des applications

Guide des bases de la sécurité de Ricoh Menu

Même si les logiciels sont conçus pour rehausser l’efficacité et la productivité, ils peuvent également entraîner des risques. Les applications logicielles intégrées, les applications installées et les logiciels hébergés dans le nuage peuvent être des cibles d’attaques à distance. C’est pourquoi vos données doivent être protégées.

Bon nombre d’attaques lancées par des cybercriminels exploitent les vulnérabilités des logiciels. Ces vulnérabilités sont généralement causées par des erreurs ou des omissions commises lors de la programmation ou de la conception et qui exposent les applications, les serveurs ou les sites Web.

Woman on her mobile phone with a security services on the screen

Voici comment assurer la sécurité des applications

1. Sécurité par défaut

Les applications devraient faire appel à la sécurité par défaut, une approche de conception qui vise la protection contre les cyberattaques. Lors de l’installation d’une nouvelle application, il est important d’effectuer des recherches à l’égard du respect, par le développeur, des normes internationales comme la norme ISO 27034.

Les pratiques de sécurité par défaut de Ricoh sont basées sur la norme ISO/IEC 27034-1:2011 (« Sécurité des applications — Partie 1 : Aperçu général et concepts »), qui tiennent compte de la sécurité tout au long du cycle de vie des produits et de services, des étapes de planification à celles de la conception. Nous offrons plusieurs solutions et logiciels intégrés pour les systèmes TI, pour la gestion des procédures d’affaires ainsi que pour les imprimantes et les appareils multifonctions.

2. Intégrations sécurisées

Les interfaces de programmation d’applications (API) sécurisées font partie intégrante de l’infrastructure TI d’une organisation. Elles permettent la communication fluide entre les applications et les systèmes. Les API se trouvent entre les applications de tierce partie et les données et les systèmes de votre organisation. Elles facilitent le mouvement des données entre ces destinations. La mauvaise gestion de la sécurité ouvre essentiellement la voie aux diverses cybermenaces.

Il est essentiel de veiller à ce que le flux soit chiffré, de régulièrement effectuer des évaluations des vulnérabilités ainsi qu’apporter des mises à jour et des correctifs en plus de s’assurer que toutes les données soient chiffrées à tous les niveaux.

3. Sécurité des données

Lorsque vous collaborez avec un fournisseur de logiciels comme service (SaaS), il est important de comprendre où seront hébergées vos données, qui y aura accès et quelles mesures de contrôle les protégeront. Il faut se demander, surtout si l’application stockera des données confidentielles, si le fournisseur détient des certifications de sécurité ou s’il a mis en place des normes et des mesures de contrôle.

4. Pratiques exemplaires en matière de cybersécurité

Pour se protéger contre les dommages causés par de tierces parties malveillantes, les administrateurs de système devraient poser les gestes suivants :

1. Lire l’entièreté de l’entente de licence de chaque solution et logiciel intégré. Afin de poursuivre l’utilisation, il faut accepter les conditions.

2. Vérifier que le système d’exploitation ou le micrologiciel d’un appareil corresponde à la plus récente version avant l’installation et l’utilisation. Installer et utiliser les solutions et les logiciels intégrés sur un réseau protégé par un pare-feu. Afin d’éviter les risques inhérents, il est conseillé de ne pas connecter les solutions et les logiciels intégrés directement à Internet.

3. Limiter l’accès aux solutions et aux logiciels intégrés uniquement aux utilisateurs autorisés, notamment au moyen de mesures de contrôle des accès ainsi qu’en n’autorisant que les plages d’adresses IP approuvées.

4. Modifier le mot de passe administrateur établi par défaut des solutions et des logiciels intégrés aux produits et aux systèmes d’exploitation pour empêcher l’accès non autorisé par de tierces parties malveillantes.

5. Vérifier que les solutions intégrées, les imprimantes, multifonctions ou non, les logiciels et les systèmes d’exploitation soient configurés adéquatement pour répondre aux flux de travaux dont vous avez besoin et pour respecter la politique de sécurité de votre entreprise.

6. Établir les paramètres de sécurité des imprimantes et des imprimantes multifonction selon les renseignements fournis dans le guide d’instruction de l’appareil ou dans la politique du client.

7. Utiliser le chiffrement pour toutes les données en circulation. De plus, les certifications devraient être approuvées par une autorité de certification tierce publique ou privée. Les certifications autosignées posent des risques.

8. Offrir des instructions et de la formation aux utilisateurs des solutions et des logiciels intégrés.

9. Veiller à ce que la sécurité des navigateurs soit activée sur les ordinateurs servant à la gestion des solutions et des logiciels intégrés pour limiter les menaces externes. De plus, il convient de ne jamais utiliser le même navigateur ou la même fenêtre pour gérer une solution ou un logiciel intégré ou y accéder tout en consultant les ressources externes. Fermer toutes les sessions des solutions et des logiciels intégrés avant d’accéder à des ressources externes.

10. Désinstaller les solutions et les logiciels désuets et toute donnée confidentielle ou personnelle auparavant utilisée dans les flux de travaux. Cela empêchera la fuite d’information confidentielle des clients qui pourrait y demeurer.